Rootkit
La piaga del nuovo millennio.
Come riconoscerli e come eliminarli
Il rootkit piu insidioso dell'anno 2006. Come riconoscerlo e come rimuoverlo
Analisi e rimozione

Guida a The Avenger


Viste le sue straordinarie capacità, quest'applicazione viene sempre piu usata per arrivare dove tutti gli altri programmi di sicurezza, compresi quelli piu blasonati non riescono ad arrivare. Avenger infatti è in grado di ripulire il sistema dai piu insidiosi malware, riuscendo a cancellare voci di registro inaccessibili, file protetti o usati dagli stessi malware, driver, intere cartelle etc... Il segreto della sua efficacità stà proprio nel fatto che esso riesce ad eseguire un insieme di istruzioni (script) prima che ogni sorta di applicazione o file maligno possa eseguirsi,in modo da impedirne la sua attivazione e di conseguenza renderlo piu "facilmente" eliminabile.

Questo tool per funzionare ha bisogno di essere guidato dall'utente, il quale mediante la compilazione di script creati ad hoc,indica al programma i comandi da eseguire... Accertatevi pero che questi comandi siano esatti,in quanto Avenger non è in nessun caso in grado di riconoscere i file buoni da quelli maligni,quindi se usato in maniera errata, puo compromettere in maniera piu o meno grave la stabilità del sistema su cui viene eseguito . In poche parole il tool si limiterà solo ad eseguire le istruzioni presenti nello script,quindi se nello script vengono inseriti dei comandi riguardanti dei file di sistema, esso gli riserverà lo stesso trattamento usato per i file infetti...(vi lascio immagginare il seguito)

Vediamo nel dettaglio a cosa assomiglia e come funziona questo straordinario prodotto;

Il tool é stato aggiornato di recente alla versione 2,con le seguenti novità; Download

Schermata principale



Di seguito i 3 metodi per eseguire il file di script


Questa prima opzione ci permette di caricare lo script da eseguire mediante un file .txt presente nel pc. Mediante il tasto a cartellina basterà sfogliare le cartelle del proprio pc per selezionare il file contenente lo script preparato precedentemente.





La seconda opzione ci permette di caricare lo script da eseguire direttamente da un indirizzo URL, a patto che sia sempre e comunque in formato .txt





Infine la terza opzione (quella piu usata) ci permette di incollare lo script precedentemente copiato




Passiamo adesso ad illustrare i comandi principali che si possono eseguire e come vanno creati gli script

Files to delete [Serve ad eliminare un file]

Folders to delete [Serve ad elminare un intera cartella]

Files to move [Serve a spostare un file]

Files to replace with dummy [serve a sostituire un file infetto con un file con lo stesso nome ma del tutto fittizio]

Registry keys to delete [Serve ad eliminare una chiave di registro]

Registry values to delete [Serve ad eliminare un valore dal registro senza toccare la chiave che lo contiene]

Registry keys to replace with dummy [Serve a sostituire una chiave del registro infetta con una copia fittizia della stessa]

Driver to delete [permette di eliminare un driver]

Driver to disable [permette di disattivare un driver]

Programs to launch on reboot [permette di eseguire un fil .bat al riavvio]

Comment [permette di inserire dei commenti]

Come usare i comandi sopra elencati
Di seguito andro ad illustrarvi come usare l'opzione piu usata e di piu facile impiego per eseguire uno script creato manualmente mediante la funzione "Paste Script From Clipboard"
  1. Avviate con un doppio click il file "Avenger.exe"
  2. Nella finestra "Input Script Here" incollate i comandi (script) che Avenger andrà ad eseguire (vedi esempio)
Per gli utenti di WI,é qui che dovrete incollare quanto suggerito nel forum




  • Dopo aver incollato lo script cliccate sul tasto "Execute"
  • Rispondete Si all'avviso e il computer verrà riavviato
    • Al riavvio il tool rilascrà un log con i dettagli delle operazioni, che troverete anche in C:\ con il nome Avenger.txt

    Ecco un esempio del log;

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\kauwbxlq

    *******************

    Script file located at: \??\C:\lekslltw.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Unload of driver m_hook unloaded successfully.
    Registry key \Registry\Machine\System\CurrentControlSet\Services\m_hook deleted successfully.
    Registry key HKLM\System\CurrentControlSet\Services\m_hook deleted successfully.
    File C:\WINDOWS\system32\wintems.exe deleted successfully.
    File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
    File C:\Documents and Settings\internet\Application Data\hidires\hidr.exe deleted successfully.
    File C:\Documents and Settings\internet\Application Data\hidires\m_hook.sys deleted successfully.
    Folder C:\Documents and Settings\internet\Application Data\hidires deleted successfully.
    Folder C:\WINDOWS\exefld deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.


    Da come si puo intuire Avenger ha fatto il suo lavoro e lo script è stato eseguito correttamente

    Vai su
    Welcome:
    Mi chiamo Maurizio ed ho 30 anni. Ho fatto questo piccolo e semplice sito per aiutare gli amici del forum e per chiunque ne volesse usufruire .
    Buona navigazione !!!
    Guide
    Risorse Utili per The Avenger

  • Swandog46
  • WinInizio


    • Risorse Utili per i rootkit

  • Antirootkit.com
  • Forum Antirootkit
  • Blog Antirootkit
  • Tuto Rootkit
  • Wikipedia
  • Rootkit.com
  • Soft AntiRootkit
  • Gizmo's Top
  • Wordpress
  • Assiste.Forums
  • Vulnerabilite.com






    •